Gateway

NFactor pour l’authentification de passerelle

L’authentification nFactor offre un tout nouvel ensemble de possibilités d’authentification. Les administrateurs utilisant nFactor bénéficient de la flexibilité de l’authentification, de l’autorisation et de l’audit (Citrix ADC AAA) lors de la configuration des facteurs d’authentification pour les serveurs virtuels.

Deux banques de polices ou deux facteurs ne limitent plus un administrateur. Le nombre de banques de polices peut être étendu pour répondre à différents besoins. En fonction des facteurs précédents, nFactor détermine une méthode d’authentification. Les formulaires de connexion dynamiques et les actions en cas d’échec sont possibles à l’aide de nFactor.

Remarque :

nFactor n’est pas pris en charge pour l’édition Standard de Citrix ADC. Il est pris en charge pour Citrix ADC Enterprise Edition et Citrix ADC Platinum Edition.

Cas d’utilisation

L’authentification nFactor permet des flux d’authentification dynamiques basés sur le profil utilisateur. Parfois, il peut s’agir de simples flux destinés à être intuitifs pour l’utilisateur. Dans d’autres cas, ils peuvent être associés à la sécurisation d’Active Directory ou d’autres serveurs d’authentification. Voici quelques exigences spécifiques à Gateway :

  1. Sélection dynamique du nom d’utilisateur et du mot de passe. Traditionnellement, les clients Citrix (y compris les navigateurs et les récepteurs) utilisent le mot de passe Active Directory (AD) comme premier champ de mot de passe. Le deuxième mot de passe est réservé pour le mot de passe à usage unique (OTP). Toutefois, pour sécuriser les serveurs AD, OTP doit d’abord être validé. nFactor peut le faire sans nécessiter de modifications du client.

  2. Point de terminaison d’authentification multi-locataires. Certaines organisations utilisent des serveurs de passerelle différents pour les utilisateurs de certificats et de non-certificats. Les utilisateurs utilisant leurs propres appareils pour se connecter, les niveaux d’accès des utilisateurs varient en fonction de l’appliance Citrix ADC en fonction de l’appareil utilisé. La passerelle peut répondre à différents besoins d’authentification.

  3. Authentification basée sur l’appartenance à un groupe. Certaines organisations obtiennent des propriétés utilisateur à partir de serveurs AD pour déterminer les exigences d’authentification. Les exigences d’authentification peuvent varier en fonction des utilisateurs individuels.

  4. Cofacteurs d’authentification. Parfois, différentes paires de stratégies d’authentification sont utilisées pour authentifier différents ensembles d’utilisateurs. La fourniture de stratégies de paire augmente l’efficacité de l’authentification. Les stratégies dépendantes peuvent être définies à partir d’un seul flux. Ainsi, des ensembles indépendants de politiques deviennent des flux à part entière qui augmentent l’efficacité et réduisent la complexité.

Gestion des réponses d’authentification

Les registres de rappel Citrix Gateway gèrent les réponses d’authentification. Les réponses AAAD (démon d’authentification) et les codes de réussite/échec/erreur/dialogue sont transmises au gestionnaire de rappel. Les codes de succès/échec/erreur/dialogue amènent Gateway à prendre les mesures appropriées.

Support client

Le tableau suivant détaille les détails de la configuration.

Client Prise en charge NFactor Point de liaison de la stratégie d’authentification EPA
Navigateurs Oui Authentification Oui
Application Citrix Workspace Oui VPN Oui
Plug-in de passerelle Oui VPN Oui

Remarque :

  • Le plug-in Citrix Gateway prend en charge l’authentification nFactor à partir de la version 12.1 build 49.37.

  • L’application Citrix Workspace prend en charge l’authentification nFactor pour les systèmes d’exploitation pris en charge à partir des versions répertoriées suivantes.

    • Windows 4.12
    • Linux 13.10
    • Mac 1808
    • iOS 2007
    • Android 1808
    • HTML5 : pris en charge via Store Web
    • Chrome : pris en charge via Store Web

Configuration de la ligne de commande

Le serveur virtuel Gateway a besoin d’un serveur virtuel d’authentification nommé en tant qu’attribut. Il s’agit de la seule configuration requise pour ce modèle.

add authnProfile <name-of-profile> -authnVsName <name-of-auth-vserver>
<!--NeedCopy-->

Le nom AuthNvsName est le nom du serveur virtuel d’authentification. Ce serveur virtuel doit être configuré avec des politiques d’authentification avancées et est utilisé pour l’authentification nFactor.

add vpn vserver <name> <serviceType> <IP> <PORT> -authnProfile <name-of-profile>

set vpn vserver <name> -authnProfile <name-of-profile>
<!--NeedCopy-->

Où AuthnProfile est le profil d’authentification créé précédemment.

Défis Interop

La plupart des clients Legacy Gateway et des clients RFWeb sont calqués sur les réponses envoyées par Gateway. Par exemple, une réponse 302 à /vpn/index.html est attendue pour de nombreux clients. En outre, ces clients dépendent de divers cookies de passerelle tels que pwcount« NSC_CERT », etc.

Analyse des points finaux (EPA)

L’EPA dans nFactor n’est pas pris en charge pour le module d’authentification, d’autorisation et d’audit Citrix ADC. Par conséquent, le serveur virtuel Citrix Gateway exécute l’EPA. Après l’EPA, les informations d’identification de connexion sont envoyées au serveur virtuel d’authentification à l’aide de l’API mentionnée précédemment. Une fois l’authentification terminée, Gateway poursuit le processus de post-authentification et établit la session utilisateur.

Considérations relatives à

Le client Gateway n’envoie les informations d’identification de l’utilisateur qu’une seule fois. La passerelle obtient une ou deux informations d’identification du client avec la demande de connexion. Dans le mode hérité, il y a deux facteurs au maximum. Les mots de passe obtenus sont utilisés pour ces facteurs. Cependant, avec nFactor, le nombre de facteurs pouvant être configurés est pratiquement illimité. Les mots de passe obtenus auprès du client Gateway sont réutilisés (selon la configuration) pour les facteurs configurés. Il faut veiller à ce que le mot de passe à usage unique (OTP) ne soit pas réutilisé plusieurs fois. De même, un administrateur doit s’assurer que le mot de passe réutilisé à un facteur est bien applicable à ce facteur.

Définition des clients Citrix

L’option de configuration est fournie pour aider Citrix ADC à déterminer les clients de navigateur par rapport aux clients lourds tels que Receiver.

Un jeu de motifs, ns_vpn_client_useragents, est fourni à l’administrateur pour configurer des modèles pour tous les clients Citrix.

De même, liez la chaîne « Citrix Receiver » à ce qui précède patset pour ignorer tous les clients Citrix qui ont « Citrix Receiver » dans l’agent utilisateur.

Restriction de NFactor pour Gateway

L’authentification nFactor for Gateway ne se produit pas si les conditions suivantes sont présentes.

  1. Le profil AuthnProfile n’est pas défini sur Citrix Gateway.

  2. Les politiques d’authentification avancées ne sont pas liées au serveur virtuel d’authentification et le même serveur virtuel d’authentification est mentionné dans AuthnProfile.

  3. La chaîne User-Agent de la requête HTTP correspond aux User-Agents configurés dans patset ns_vpn_client_useragents.

Si ces conditions ne sont pas remplies, la stratégie d’authentification classique liée à Gateway est utilisée.

Si un User-Agent, ou une partie de celui-ci, est lié à ce qui est mentionné précédemment,patset les demandes provenant de ces agents utilisateurs ne participent pas au flux nFactor. Par exemple, la commande suivante limite la configuration de tous les navigateurs (en supposant que tous les navigateurs contiennent « Mozilla » dans la chaîne de l’agent utilisateur) :

bind patset ns_vpn_client_useragents Mozilla
<!--NeedCopy-->

Schéma de connexion

LoginSchema est une représentation logique du formulaire d’ouverture de session. Le langage XML le définit. La syntaxe du schéma LoginSchema est conforme à la spécification Common Forms Protocol de Citrix.

LoginSchema définit la « vue » du produit. Un administrateur peut fournir une description personnalisée, un texte d’assistance, etc. du formulaire. Cela inclut les étiquettes du formulaire lui-même. Un client peut fournir le message de réussite ou d’échec qui décrit le formulaire présenté à un moment donné.

Connaissances LoginSchema et NFactor requises

Les fichiers LoginsSchema prédéfinis se trouvent dans l’emplacement Citrix ADC suivant /nsconfig/loginschema/loginschema/loginschema/. Ces fichiers LoginSchema prédéfinis répondent aux cas d’utilisation courants et peuvent être modifiés pour de légères variations si nécessaire.

De plus, la plupart des cas d’utilisation à facteur unique avec peu de personnalisations ne nécessitent pas de configuration de schéma de connexion.

Il est conseillé à l’administrateur de consulter la documentation du produit Citrix pour connaître les autres options de configuration permettant à Citrix ADC de découvrir les facteurs. Une fois que l’utilisateur a soumis les informations d’identification, l’administrateur peut configurer plusieurs facteurs pour choisir et traiter les facteurs d’authentification de manière flexible.

Configuration de l’authentification à deux facteurs sans utiliser LoginSchema

Citrix ADC détermine automatiquement les exigences à double facteur en fonction de la configuration. Une fois que l’utilisateur présente ces informations d’identification, l’administrateur peut configurer le premier ensemble de stratégies sur le serveur virtuel. Pour chaque stratégie, il peut y avoir un « NextFactor » configuré en tant que « passthrough ». Un « relais » implique que l’appliance Citrix ADC doit traiter l’ouverture de session à l’aide du jeu d’informations d’identification existant sans communiquer avec l’utilisateur. En utilisant des facteurs « relais », un administrateur peut piloter le flux d’authentification par programmation. Il est conseillé aux administrateurs de lire la spécification nFactor ou les guides de déploiement pour plus de détails. Voir https://docs.citrix.com/en-us/netscaler/12-1/aaa-tm/multi-factor-nfactor-authentication.html.

Nom d’utilisateur Expressions de mot de passe

Pour traiter les informations d’identification de connexion, l’administrateur doit configurer le schéma de connexion. Les cas d’utilisation à un ou deux facteurs avec peu de personnalisations LoginSchema ne nécessitent pas de définition XML spécifiée. Le schéma LoginSchema possède d’autres propriétés telles que UserExpression et PasswdExpression qui peuvent être utilisées pour modifier le nom d’utilisateur ou le mot de passe présenté par l’utilisateur. Il s’agit d’expressions de politique avancées qui peuvent également être utilisées pour remplacer les entrées de l’utilisateur.

Étapes de haut niveau de la configuration NFactor

Le diagramme suivant illustre les étapes de haut niveau impliquées dans la configuration de nFactor.

nFactor-workflow

Configuration de l’interface graphique

Les rubriques suivantes sont décrites dans cette section :

  • Créer un serveur virtuel

  • Créer un serveur virtuel d’authentification

  • Créer un profil CERT d’authentification

  • Créer une stratégie d’authentification

  • Ajouter un serveur d’authentification LDAP

  • Ajouter une stratégie d’authentification LDAP

  • Ajouter un serveur d’authentification RADIUS

  • Ajouter une stratégie d’authentification RADIUS

  • Créer un schéma de connexion d’authentification

  • Créer un libellé de stratégie

Créer un serveur virtuel

  1. Accédez à Citrix Gateway -> Virtual Servers.

    Page Serveurs virtuels

  2. Cliquez sur le bouton Ajouter pour créer un serveur virtuel de passerelle.

    Ajouter un serveur virtuel

  3. Entrez les informations suivantes.

    Nom du paramètre Description des paramètres
    Entrez le nom du serveur virtuel. Nom du serveur virtuel Citrix Gateway. Doit commencer par un caractère alphabétique ASCII ou un trait de soulignement (_) et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), un espace, deux points (:), à (@), égal (=) et un trait d’union (-). Peut être modifié après la création du serveur virtuel. La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : Si le nom inclut un ou plusieurs espaces, insérez le nom entre guillemets doubles ou simples (par exemple, « mon serveur » ou « mon serveur »).
    Entrez le type d’adresse IP du serveur virtuel Sélectionnez une adresse IP ou une option non adressable dans le menu déroulant.
    Entrez l’adresse IP du serveur virtuel. Une adresse de protocole Internet (adresse IP) est une étiquette numérique attribuée à chaque périphérique participant au réseau informatique qui utilise le protocole Internet pour la communication.
    Entrez le numéro de port du serveur virtuel. Entrez le numéro de port.
    Entrez le profil d’authentification. Entité de profil d’authentification sur le serveur virtuel. Cette entité peut être utilisée pour décharger l’authentification sur le serveur virtuel Citrix ADC AAA pour une authentification multifacteur (nFactor)
    Entrez le profil du serveur RDP. Nom du profil de serveur RDP associé au serveur virtuel.
    Entrez le nombre maximal d’utilisateurs. Nombre maximal de sessions utilisateur simultanées autorisées sur ce serveur virtuel. Le nombre réel d’utilisateurs autorisés à ouvrir une session sur ce serveur virtuel dépend du nombre total de licences utilisateur.
    Entrez le nombre maximal de tentatives de connexion. Nombre maximal de tentatives de connexion.
    Entrez le délai d’expiration de la connexion en échec. Nombre de minutes pendant lequel un compte est verrouillé si l’utilisateur dépasse le nombre maximal de tentatives autorisées.
    Entrez la mise à niveau du plug-in Windows EPA. Option permettant de définir le comportement de mise à niveau du plug-in pour Win.
    Entrez la mise à niveau du plug-in Linux EPA. Possibilité de définir le comportement de mise à niveau des plug-ins pour Linux.
    Accédez à la mise à niveau du plug-in MAC EPA Possibilité de définir le comportement de mise à niveau des plug-ins pour Mac.
    Connexion une fois Cette option active/désactive la connexion SSO transparente pour ce serveur virtuel.
    ICA uniquement Lorsqu’il est réglé sur ON, cela implique le mode Basic dans lequel l’utilisateur peut se connecter à l’aide de l’application Citrix Workspace ou d’un navigateur et accéder aux applications publiées configurées dans l’environnement Citrix Virtual Apps and Desktops indiqué par le Wihomeparamètre. Les utilisateurs ne sont pas autorisés à se connecter à l’aide du plug-in Citrix Gateway et les analyses des points de terminaison ne peuvent pas être configurées. Le nombre d’utilisateurs pouvant se connecter et accéder aux applications n’est pas limité par la licence dans ce mode. - Lorsqu’il est réglé sur OFF, cela implique le mode SmartAccess dans lequel l’utilisateur peut se connecter à l’aide de l’application Citrix Workspace, d’un navigateur ou d’un plug-in Citrix Gateway. L’administrateur peut configurer les analyses des points de terminaison pour qu’elles soient exécutées sur les systèmes clients, puis utiliser les résultats pour contrôler l’accès aux applications publiées. Dans ce mode, le client peut se connecter à la passerelle dans d’autres modes client, à savoir VPN et VPN sans client. Le nombre d’utilisateurs pouvant se connecter et accéder aux ressources est limité par les licences CCU dans ce mode.
    Activer l’authentification Exiger l’authentification des utilisateurs qui se connectent à Citrix Gateway.
    Double Hop Utilisez le dispositif Citrix Gateway dans une configuration à double saut. Un déploiement à double saut fournit une couche de sécurité supplémentaire pour le réseau interne en utilisant trois pare-feu pour diviser la zone démilitarisée en deux étapes. Un tel déploiement peut comporter une appliance dans la zone démilitarisée et une appliance dans le réseau sécurisé.
    Flush de l’état bas Fermez les connexions existantes lorsque le serveur virtuel est marqué en panne, ce qui signifie que le serveur a peut-être expiré. La déconnexion des connexions existantes libère des ressources et, dans certains cas, accélère la récupération des configurations d’équilibrage de charge surchargées. Activez ce paramètre sur les serveurs sur lesquels les connexions peuvent être fermées en toute sécurité lorsqu’elles sont marquées comme étant en panne. N’activez pas le vider de l’état DOWN sur les serveurs qui doivent terminer leurs transactions.
    DTLS Cette option démarre/arrête le service d’allumage sur le serveur virtuel
    Journalisation AppFlow Journaliser les enregistrements AppFlow qui contiennent des informations NetFlow ou IPFIX standard, telles que les horodatages pour le début et la fin d’un flux, le nombre de paquets et le nombre d’octets. Consignez également les enregistrements qui contiennent des informations au niveau de l’application, telles que les adresses Web HTTP, les méthodes de requête HTTP et les codes d’état de réponse, le temps de réponse du serveur et la latence.
    Migration de session proxy ICA Cette option détermine si une session de proxy ICA existante est transférée lorsque l’utilisateur ouvre une session à partir d’un autre appareil.
    État État actuel du serveur virtuel (UP, DOWN, BUSY, etc.).
    Activer le certificat de périphérique Indique si la vérification du certificat de l’appareil dans le cadre de l’EPA est activée ou désactivée.

    Paramètres de base

  4. Sélectionnez la section Aucun certificat de serveur de la page.

    Cliquez sur aucun certificat de serveur

  5. Cliquez sur > pour sélectionner le certificat de serveur.

  6. Sélectionnez le certificat SSL et cliquez sur le bouton Sélectionner.

    Sélectionnez un certificat SSL

  7. Cliquez sur Bind.

    BIND

  8. Si vous voyez un avertissement indiquant qu’ aucun chiffrement utilisable s’affiche, cliquez sur OK

  9. Cliquez sur le bouton Continuer.

    Continue

  10. Dans la section Authentification, cliquez sur l’icône + en haut à droite.

    Cliquez sur le bouton Développer

Créer un serveur virtuel d’authentification

  1. Accédez à Sécurité -> AAA — Trafic des applications -> Serveurs virtuels.

    Page Serveurs virtuels

  2. Cliquez sur le bouton Add.

    Ajouter un serveur virtuel

  3. Renseignez les paramètres de base suivants pour créer le serveur virtuel d’authentification.

    Remarque : Le signe * à droite du nom du paramètre indique des champs obligatoires.

    • Entrez le nom du nouveau serveur virtuel d’authentification.

    • Entrez le type d’adresse IP. Le type d’adresse IP peut être configuré comme non adressable.

    • Entrez l’adresse IP. L’adresse IP peut être nulle.

    • Entrez le type de protocole du serveur virtuel d’authentification.

    • Entrez le port TCP sur lequel le serveur virtuel accepte les connexions.

    • Entrez le domaine du cookie d’authentification défini par le serveur virtuel d’authentification.

  4. Cliquez sur OK.

    Paramètres de base

  5. Cliquez sur le certificat No Server.

    Cliquez sur aucun certificat de serveur

  6. Sélectionnez le certificat de serveur souhaité dans la liste.

    Sélectionner un certificat de serveur

  7. Choisissez le certificat SSL souhaité et cliquez sur le bouton Sélectionner.

    Remarque : Le serveur virtuel d’authentification n’a pas besoin d’un certificat qui lui est lié.

    Choisissez un certificat SSL

  8. Configurez la liaison de certificat du serveur.

    • Cochez la case Certificat de serveur pour SNI pour lier une ou plusieurs clés de certificat utilisées pour le traitement SNI.

    • Cliquez sur le bouton Bind.

    Certificat de liaison

Créer un profil CERT d’authentification

  1. Accédez à Sécurité -> AAA — Trafic des applications -> Stratégies -> Authentification -> Politiques de base -> CERT.

    Page du certificat

  2. Sélectionnez l’onglet Profils, puis Ajouter.

    Ajouter un profil au certificat

  3. Remplissez les champs suivants pour créer le profil de CERT d’authentification. Le signe * à droite du nom du paramètre indique des champs obligatoires.

    • Nom : nom du profil du serveur d’authentification de certificat client (action).

    • Deux facteurs : dans ce cas, l’option d’authentification à deux facteurs est NOOP.

    • Champ de nom d’utilisateur : saisissez le champ client-cert à partir duquel le nom d’utilisateur est extrait. Doit être défini sur « Sujet » ou «” Émetteur “» (inclure les deux jeux de guillemets doubles).

    • Champ de nom de groupe : saisissez le champ de certificat client à partir duquel le groupe est extrait. Doit être défini sur « Sujet » ou «” Émetteur “» (inclure les deux jeux de guillemets doubles).

    • Groupe d’authentification par défaut : il s’agit du groupe par défaut qui est choisi lorsque l’authentification réussit en plus des groupes extraits.

  4. Cliquez sur Créer.

    Créer un profil de certificat

Créer une stratégie d’authentification

  1. Accédez à Sécurité -> AAA — Trafic des applications -> Stratégies -> Authentification -> Politiques avancées -> Politique.

    Page de stratégie

  2. Sélectionner le bouton Ajouter

    Ajouter une stratégie

  3. Renseignez les informations suivantes pour créer une stratégie d’authentification. Le signe * à droite du nom du paramètre indique des champs obligatoires.

    a) Nom : entrez le nom de la politique d’authentification avancée. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Impossible de modifier une fois la stratégie d’authentification créée.

    La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : si le nom inclut un ou plusieurs espaces, insérez le nom entre guillemets doubles ou simples (par exemple, « ma stratégie d’authentification » ou « ma stratégie d’authentification »).

    b) Type d’action : entrez le type de l’action d’authentification.

    c) Action : entrez le nom de l’action d’authentification à effectuer si la stratégie correspond.

    d) Action de consignation : entrez le nom de l’action de journal des messages à utiliser lorsqu’une demande correspond à cette stratégie.

    e) Expression : entrez le nom de la règle nommée Citrix ADC, ou une expression de syntaxe par défaut, que la stratégie utilise pour déterminer s’il faut tenter d’authentifier l’utilisateur auprès du serveur d’AUTHENTIFICATION.

    f) Commentaires : saisissez des commentaires pour conserver les informations relatives à cette stratégie.

  4. Cliquez sur Créer.

    Créer une stratégie

Ajouter un serveur d’authentification LDAP

  1. Accédez à Sécurité -> AAA — Trafic des applications -> Stratégies -> Authentification -> Politiques de base -> LDAP .

    Page du serveur LDAP

  2. Ajoutez un serveur LDAP en sélectionnant l’onglet Serveur et en cliquant sur le bouton Ajouter.

    Ajouter un serveur LDAP

Ajouter une stratégie d’authentification LDAP

  1. Accédez à Sécurité -> AAA — Trafic des applications -> Stratégies -> Authentification -> Politiques avancées -> Politique.

    Page Ajouter une stratégie LDAP

  2. Cliquez sur Ajouter pour ajouter une stratégie d’authentification.

    Ajouter une stratégie LDAP

  3. Renseignez les informations suivantes pour créer une stratégie d’authentification. Le signe * à droite du nom du paramètre indique des champs obligatoires.

    a) Nom : nom de la politique d’authentification avancée. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Impossible de modifier une fois la stratégie d’authentification créée.

    La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : si le nom inclut un ou plusieurs espaces, insérez le nom entre guillemets doubles ou simples (par exemple, « ma stratégie d’authentification » ou « ma stratégie d’authentification »).

    b) Type d’action : type de l’action d’authentification.

    c) Action : nom de l’action d’authentification à effectuer si la stratégie correspond.

    d) Action de consignation : nom de l’action du journal des messages à utiliser lorsqu’une demande correspond à cette stratégie.

    e) Expression : nom de la règle nommée Citrix ADC, ou une expression de syntaxe par défaut, utilisée par la stratégie pour déterminer s’il faut tenter d’authentifier l’utilisateur auprès du serveur d’AUTHENTIFICATION.

    f) Commentaires - Tout commentaire visant à préserver les informations relatives à cette stratégie.

  4. Cliquez sur Créer.

    Créer une stratégie LDAP

Ajouter un serveur d’authentification RADIUS

  1. Accédez à Sécurité -> AAA — Trafic des applications -> Stratégies -> Authentification -> Politiques de base -> RADIUS.

    Page RADIUS

  2. Pour ajouter un serveur, sélectionnez l’onglet Serveurs et cliquez sur le bouton Ajouter.

    Ajouter un serveur RADIUS

  3. Entrez les informations suivantes pour créer un serveur RADIUS d’authentification. Le signe * à droite du nom du paramètre indique des champs obligatoires.

    a) Entrez un nom pour l’action RADIUS.

    b) Entrez le nom du serveur ou l’adresse IP du serveur attribué au serveur RADIUS.

    c) Entrez le numéro de port sur lequel le serveur RADIUS écoute les connexions.

    d) Entrez la valeur du délai d’attente en quelques secondes. Il s’agit de la valeur à laquelle l’appliance Citrix ADC attend une réponse du serveur RADIUS.

    e) Entrez la clé secrète partagée entre le serveur RADIUS et l’appliance Citrix ADC. La clé secrète est nécessaire pour permettre à l’appliance Citrix ADC de communiquer avec le serveur RADIUS.

    f) Confirmez la clé secrète.

  4. Cliquez sur Créer.

    Créer un serveur RADIUS

Ajouter une stratégie d’authentification RADIUS

  1. Accédez à Sécurité -> AAA — Trafic des applications -> Stratégies -> Authentification -> Politiques avancées -> Politique.

    Page de stratégie

  2. Cliquez sur Ajouter pour créer une stratégie d’authentification.

    Ajouter une stratégie

  3. Renseignez les informations suivantes pour créer une stratégie d’authentification. Le signe * à droite du nom du paramètre indique des champs obligatoires.

    a) Nom : nom de la politique d’authentification avancée. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Impossible de modifier une fois la stratégie d’authentification créée.

    La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : si le nom inclut un ou plusieurs espaces, insérez le nom entre guillemets doubles ou simples (par exemple, « ma stratégie d’authentification » ou « ma stratégie d’authentification »).

    b) Type d’action : type de l’action d’authentification.

    c) Action : nom de l’action d’authentification à effectuer si la stratégie correspond.

    d) Action de consignation : nom de l’action du journal des messages à utiliser lorsqu’une demande correspond à cette stratégie.

    e) Expression : nom de la règle nommée Citrix ADC, ou une expression de syntaxe par défaut, utilisée par la stratégie pour déterminer s’il faut tenter d’authentifier l’utilisateur auprès du serveur d’AUTHENTIFICATION.

    f) Commentaires - Tout commentaire visant à préserver les informations relatives à cette stratégie.

  4. Cliquez sur OK.

    Création d'une politique 1

  5. Vérifiez que votre stratégie d’authentification est répertoriée.

    Créer une stratégie 2

Créer un schéma de connexion d’authentification

  1. Accédez à Sécurité -> AAA — Trafic des applications -> Schéma de connexion.

    Page Schéma de connexion

  2. Sélectionnez l’onglet Profils et cliquez sur le bouton Ajouter.

    Ajouter un schéma de connexion

  3. Remplissez les champs suivants pour créer un schéma de connexion d’authentification :

    a) Entrez le nom : il s’agit du nom du nouveau schéma de connexion.

    b) Entrez le schéma d’authentification : il s’agit du nom du fichier permettant de lire un schéma d’authentification à envoyer pour l’interface utilisateur de la page de connexion. Ce fichier doit contenir la définition XML des éléments conformément au protocole d’authentification Citrix Forms pour pouvoir afficher le formulaire de connexion. Si un administrateur ne souhaite pas demander aux utilisateurs d’entrer d’autres informations d’identification mais continuer avec les informations d’identification précédemment obtenues, noschema peut les utiliser comme argument. Cela s’applique uniquement aux schémas de connexion utilisés avec des facteurs définis par l’utilisateur, et non au facteur de serveur virtuel.

    c) Entrez l’expression utilisateur - L’expression pour l’extraction du nom d’utilisateur lors de la connexion

    d) Entrez l’expression de mot de passe - c’est l’expression pour l’extraction du mot de passe lors de la connexion

    e) Entrez l’index des informations d’identification de l’utilisateur : il s’agit de l’index dans lequel le nom d’utilisateur saisi par l’utilisateur doit être stocké pendant la session.

    f) Entrez l’ index des informations d’identification du mot de passe : il s’agit de l’index dans lequel le mot de passe saisi par l’utilisateur doit être stocké pendant la session.

    g) Entrez le niveau d’authentification : il s’agit du poids de l’authentification actuelle.

  4. Cliquez sur Créer.

    Créer un schéma de connexion

    1. Vérifiez que votre profil de schéma de connexion est répertorié.

    Vérifier le profil de schéma de connexion

Créer un libellé de stratégie

Une étiquette de stratégie spécifie les stratégies d’authentification pour un facteur particulier. Chaque étiquette de stratégie correspond à un seul facteur. L’étiquette de stratégie spécifie le formulaire de connexion qui doit être présenté à l’utilisateur. L’étiquette de stratégie doit être liée en tant que facteur suivant d’une stratégie d’authentification ou d’une autre étiquette de stratégie d’authentification. En règle générale, une étiquette de stratégie inclut des stratégies d’authentification pour un mécanisme d’authentification spécifique. Toutefois, vous pouvez également avoir une étiquette de stratégie qui comporte des stratégies d’authentification pour différents mécanismes d’authentification.

  1. Accédez à Sécurité -> AAA — Trafic des applications -> Stratégies -> Authentification -> Stratégies avancées -> Étiquette de politique.

    Page Libellé de stratégie

  2. Cliquez sur le bouton Add.

    Ajouter une étiquette de stratégie

  3. Remplissez les champs suivants pour créer une étiquette de stratégie d’authentification :

    a) Entrez le nom de la nouvelle étiquette de stratégie d’authentification.

    b) Entrez le schéma de connexion associé à l’étiquette de politique d’authentification.

    c) Cliquez sur Continuer.

    Sélectionnez le schéma de connexion

  4. Sélectionnez une stratégie dans le menu déroulant.

    Sélectionnez une stratégie

  5. Choisissez la stratégie d’authentification souhaitée et cliquez sur le bouton Sélectionner.

    Sélectionnez une politique automatique

  6. Renseignez les champs suivants :

    a) Entrez la priorité de la liaison de stratégie.

    b) Entrez l’expression Goto — l’expression spécifie la priorité de la stratégie suivante qui sera évaluée si la règle de stratégie actuelle est évaluée à TRUE.

    Ajouter une expression

  7. Sélectionnez la stratégie d’authentification souhaitée, puis cliquez sur le bouton Sélectionner.

    Sélectionnez une politique d'authentification

  8. Cliquez sur le bouton Bind.

    Stratégie de liaison

  9. Cliquez sur Terminé.

    Cliquez sur Créer

  10. Consultez l’étiquette de stratégie d’authentification.

    Revoir le libellé de la politique d'authentification